Inhalt:

• Ein Jahr Datenschutzbehörden
• Lokalisierung von Personen
• Ärger mit Video-Überwachung
• Bewertungsportale: Vorsicht bei Widerspruch!
• Österreich: DSGVO gegen Datenschutzgesetz
• Was fängt man beim Phishing?
• Geschäft mit unseren Daten: Der jö-Bonusclub
• Cookie-Gutachten für EuGH

 

 

Ein Jahr Datenschutzbehörden

Gleichzeitig mit dem Inkrafttreten der DSGVO entstanden in Europa die Datenschutzbehörden in ihrer neuen, aktuellen Form. In der Regel gingen sie aus Einrichtungen hervor, die schon vorher bestanden. Aber ab dem 25. Mai 2018 gab es neue Rechtsgrundlagen und neue Aufgaben. Grund genug für eine Bilanz.

Wir haben uns die Jahresberichte des Berliner Datenschutzbeauftragten und der österreichischen Datenschutzbehörde (DSB) genauer angesehen. Sie berichten von Fällen und von Entscheidungen, die allesamt nicht nur am Sitz der jeweiligen Behörde Geltung haben. Das ist eine spezielle Neuheit in der Verwaltungsgeschichte der EU, dass regionale Behörden Entscheidungen treffen, die für den gesamten Rechtsraum bedeutsam sind. Auslegungen der DSGVO in Deutschland entfalten daher auch in Österreich ihre Wirkung - und vice versa. Deshalb lohnt es sich, den Blick über den Tellerrand hinaus zu lenken.

Quellen:

https://www.dsb.gv.at/documents/22758/115209/datenschutzbericht_2018.pdf/86c43a23-7778-487a-88c4-a151d4b00a77 (4.5.2019)

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/jahresbericht/BlnBDI-Jahresbericht-2018-Web.pdf (22.5.2019)

 

 

Lokalisierung von Personen

Der Berliner Datenschutzbeaftragte wurde um beratende Begleitung bei einem Projekt gebeten, bei dem ein System für die automatische Lokalisierung gefährdeter Personen bei einem Notruf über Handy-Ortung entwickelt wurde. Aus der Perspektive des Datenschutzes stellt sich die Frage, ob die Einsatzkräfte in diesem Fall zur Datenverarbeitung berechtigt sind. Dabei vertritt die Berliner Datenschutzbehörde die Rechtsauffassung, dass der Rechtfertigungsgrund des Art. 6 Abs. 1 lit d der DSGVO ("Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person") in Anbetracht des Erwägungsgrundes 46 nur in Ausnahmefällen - keinesfalls jedoch regelmäßig - eine tragfähige Grundlage bildet. Daher wurde eine Novelle des Berliner Rettungsdienstgesetzes angeregt, damit eine ausdrückliche Rechtsgrundlage für die automatische Ortung von gefährdeten Personen sichergestellt werden kann.

Über den Anlassfall weit hinausgehend hat der Berliner Datenschutzbeauftragte auch abgeraten, sich der Google-Ortung zu bedienen.

"Problematisch ist, dass derzeit noch unklar ist, welche Daten Google zur Standortbestimmung nutzt und ob es sich dabei um Daten handelt, deren Erhebung rechtmäßig erfolgt ist. [...] Google oder Apple erfahren somit (aus technischen Gründen im Fall der Absetzung eines Notrufes; Anm.) zwangsläufig, dass ein beliebiges Smartphone sich an einem bestimmten Ort aufhält. Zu beantworten ist die Frage, ob und wie die Betriebssystemhersteller diese Daten nutzen und ob die Smartphones bzw. deren Besitzerinnen oder Besitzer hierbei identifiziert werden können."

Die Einschätzung des Berliner Datenschutzbeauftragten wäre bei allen Anwendungen zu beachten, die auf einer Google-Lokalisierung beruhen. Besondere Aufmerksamkeit ist auch bei "Trackern" geboten, die beispielsweise zur Lokalisierung von Kindern und Patienten am Markt angeboten werden.

Quelle:

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/jahresbericht/BlnBDI-Jahresbericht-2018-Web.pdf (22.5.2019)

 

 

Ärger mit Video-Überwachung

Sowohl die DSB in Österreich, als auch der Berliner Datenschutzbeauftragte befassen sich in ihren Jahresberichten mit der Video-Überwachung und kommen beide zum Schluss, dass diese jedenfalls einer entsprechenden Deklaration (Hinweisschild) bedarf und nicht den öffentlichen Raum erfassen darf. Ein österreichisches Unternehmen wurde bereits wegen Zuwiderhandelns mit einer Strafe von EUR 4.500 belegt.

Betreffend die Video-Überwachung wird eine Art Handbuch für Anwender angestrebt, das von allen europäischen Datenschutzbehörden gemeinsam ausgearbeitet wird und eine rechtssichere Handhabung der Video-Überwachung gewährleistet.

Quellen:

https://www.dsb.gv.at/documents/22758/115209/datenschutzbericht_2018.pdf/86c43a23-7778-487a-88c4-a151d4b00a77 (4.5.2019)

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/jahresbericht/BlnBDI-Jahresbericht-2018-Web.pdf (22.5.2019)

 

 

Bewertungsportale: Vorsicht bei Widerspruch!

Fachspezifische Internetportale - z.B. für die Vermittlung von Hotelzimmern, aber auch für Dienstleistungberufe, darunter auch Ärzte, Therapeuten u.dgl. - ermöglichen es, positive wie negative Kritiken zu veröffentlichen. Für die Kritisierten ist es ärgerlich, dass nicht alle Kritiken sachlich sind und zudem immer wieder aus völlig unrealistischen Erwartungshaltungen heraus verfasst werden. Seriöse Bewertungsportale räumen daher den Kritisierten die Möglichkeit ein, zu den Kritiken Stellung zu nehmen.

Der Verteidung gegen ungerechtfertigte Kritik sind aber sehr enge Grenzen gesetzt, wie der Berliner Datenschutzbeauftragte festhielt. Im Rahmen der Replik gegenüber den Plattform-Betreibern dürfen ohne Erlaubnis der Betroffenen keine personenbezogenen Daten bekanntgegeben werden, die nicht vom Kritiker selbst ohnehin schon preisgegeben wurden.

Besonders unangenehm ist dies für Gesundheitsberufe, die einer besonderen Verschwiegenheitsverpflichtung unterliegen. Im Anlassfall hatte sich ein Arzt gegenüber den Betreibern einer Plattform gegen unzutreffende und unsachliche Kritik verteidigt und dabei zum Beweis oder zur Erklärung auch Details aus der Krankenakte des Kritikers angeführt. Damit hat er gegen das Datenschutzrecht und gegen seine Verschwiegenheitsverpflichtung verstoßen, ungeachtet des Umstandes, dass es ihm anders vielleicht gar nicht möglich gewesen wäre, sich zu rechtfertigen.

Dass unter solchen Umständen eine öffentlichkeitswirksame Gegendarstellung schwierig ist, liegt auf der Hand. Eine "Waffengleichheit" zwischen dem Kritiker und dem Kritisierten müssten jedoch die Gesetzgeber herbeiführen.

Quelle:

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/jahresbericht/BlnBDI-Jahresbericht-2018-Web.pdf (22.5.2019)

 

 

Österreich: DSGVO gegen Datenschutzgesetz

Eine österreichische Spezialität ist der Umstand, dass das neue Datenschutzgesetz (DSG) andere Regelungen trifft, als die DSGVO. Die DSB hat sich mit dem Umstand auseinandergesetzt, dass das österreichische DSG im § 1, bei dem es sich um eine Verfassungsbestimmung handelt, nicht nur natürlichen, sondern auch juristischen Personen Schutz ihrer Daten gewährt. Die DSB strebt eine Vereinheitlichung dahingehend an, dass der Datenschutz für juristische Personen aus dem DSG entfernt wird. Dafür bedarf es aber einer Verfassungsmehrheit im Nationalrat, die angesichts der aktuellen politischen Situation in Österreich so schnell nicht zustandekommen wird.

Bis dahin wird jedenfalls die DSB den juristischen Personen nicht alle Rechtsansprüche der DSGVO, sondern nur jene zuerkennen, die im DSG normiert sind.

"Konkret bedeutet dies, dass sich juristische Personen wegen einer behaupteten Verletzung in den Rechten auf Geheimhaltung (§ 1 Abs. 1 DSG), Auskunft (§ 1 Abs. 3 Z 1 leg. cit.), Richtigstellung und Löschung (§ 1 Abs. 3 Z 2 leg. cit.) auf das Grundrecht auf Datenschutz berufen und dieses vor der Datenschutzbehörde geltend machen können."

Das Recht auf Einschränkung der Bearbeitung oder auf Datenübertragbarkeit kommt demnach den juristischen Personen nicht zu.

Quelle:

https://www.dsb.gv.at/documents/22758/115209/datenschutzbericht_2018.pdf/86c43a23-7778-487a-88c4-a151d4b00a77 (4.5.2019)

 

 

Was fängt man beim Phishing?

Unter Phishing versteht man Versuche eines Angreifers, sein Ziel oder Opfer zu beeinflussen, um an kritische Informationen zu gelangen. Meistens (aber nicht ausschließlich) handelt es sich um Informationen, die dazu führen, dass den Opfern Geld entwendet wird. Die Summen gehen in einzelnen Fällen in die Millionen, wobei erfolgreiche Angriffe bisher nicht immer bekannt wurden. Grund dafür ist teilweise die Scham der Betroffenen, teilweise sind es aber auch kriminaltaktische Überlegungen, um die Identifizierung der Täter nicht zu behindern.

Phishing ist zwar eine immense Gefahr für die User und die IT-Infrastruktur, das Thema ist aber in der Fachliteratur unterrepräsentiert. Jeder von uns hat schon Mails bekommen, die sich bei näherer Betrachtung als Betrugsversuch erwiesen haben. In der Klienteninfo Nr. 2 vom November 2018 war ein Beispiel angeführt.

Die DSGVO sorgt dafür, dass wenigstens immer dann, wenn personenbezogene Daten im Spiel sind (und wann ist das nicht der Fall?) die Datenschutzbehörde und die Betroffenen binnen 72 Stunden verständigt werden müssen.

Es gibt unterschiedliche Mittel, um einen Phishing-Angriff zu führen: Mails, Telefonanrufe, Mitteilungen über Social Media. Dazu passen die Meldungen in mehreren Medien, dass Facebook Lobbying gegen den Datenschutz betreibt. Aktuell ist beim Phishing jedoch der Ansatz über E-Mails der häufigste. Derartige Mails sind eines der größten Risiken für die Informationssicherheit und können jeden treffen – Privatpersonen ebenso, wie Unternehmen.

Die erfolgreiche Abwehr von Phishing-Angriffen ruht im Wesentlichen auf zwei Säulen: Technik und Mensch. Bei der Technik geht es darum, alle zumutbaren Vorkehrungen zu treffen, Updates unverzüglich einzuspielen, den Virenschutz aktuell zu halten. Das alles ist eine Hilfe, kann jedoch die Aufmerksamkeit und den wachen Verstand des Menschen, der vor dem jeweiligen Gerät sitzt, nicht ersetzen. Wie so oft können der Hausverstand gepaart mit kritischer Beobachtung deutlich mehr Abhaltewirkung erzielen, als die ausgefeiltesten Schutzmechanismen – auf die man freilich nicht verzichten kann.

Nachdenken, bevor man auf einen Link klickt – das sollte als Standardregel gelten, damit man sich nachträgliches Kopfweh erspart.

Quellen:

https://orf.at/stories/3113686/ (4.3.2019)

https://www.theguardian.com/technology/2019/mar/02/facebook-global-lobbying-campaign-against-data-privacy-laws-investment (2.3.2019)

https://www.computerweekly.com/news/252458229/Facebook-asked-George-Osborne-to-influence-EU-data-protection-law (2.3.2019)

 

 

Geschäft mit unseren Daten: Der jö-Bonusclub

Wieder ist ein großer Datensammler unterwegs: Der "jö-Bonusclub" des Rewe-Konzerns in Österreich wurde zur optimalen Überwachung des Informations- und Kaufverhaltens seiner Mitglieder als eigene GmbH gegründet. Neben Rewe als Betreiber treten als "teilnehmende Partner" bisher beispielsweise auch noch die OMV und BAWAG PSK auf.

Anders als die Post, deren Schätzungen der Parteizugehörigkeit von in Österreich lebenden Personen in den ersten Tagen des laufenden Jahres aufflog (und zu einem öffentlichen Aufschrei führte), macht Rewe aus seinen Absichten kein Geheimnis und holt sich ganz offiziell die Zustimmung der geworbenen Mitglieder. Allerdings ist mehr als unsicher, ob das durchschnittliche "Clubmitglied" (also der Karteninhaber) wirklich versteht, was "Profiling" im Sinn der DSGVO bedeutet.

Das wird zwar im Punkt 5 der Allgemeinen Geschäftsbedingungen mehrfach ausführlich erklärt:

"Es werden Profile über das Mitglied erstellt, welche auf die Wahrscheinlichkeit zukünftiger Einkäufe schließen lassen, Zielgruppenselektionen sowie aggregierte Auswertungen für Sortiments-, Regal- und Filialoptimierung vorgenommen und individualisierte Werbe- und Marketingmaßnahmen entwickelt."

Trotzdem wäre zu hinterfragen, ob die Dichte und vorallem die Folgen der Überwachung damit bereits genügend offengelegt sind. Werden etwa die Wege mitverfolgt, die ein Kunde ("Mitglied") im Geschäft von Regal zu Regal zurücklegt? Werden seine Bewegungen außerhalb des Geschäftslokals verfolgt? Werden die online-Bestellungen bei anderen Händlern, z.B. bei Amazon, mit den Rewe-Angeboten verglichen? Auf alle diese Fragen geben die AGB keine Antwort. Eine Zustimmung zur Datenverarbeitung ist jedoch nur gültig, wenn sie "in informierter Weise" erfolgt.

Die Datenschutzbehörden sehen Profiling, also die Analyse und Prognose des Verhaltens von natürlichen Personen, äußerst kritisch, weil davon eine große Gefahr für die Rechte und Freiheiten der Menschen ausgehen kann. Es bleibt also abzuwarten, ob Rewe, die OMV und die BAWAG PSK ihr Projekt, in das sie vermutlich viel Geld investiert haben, ohne behördliche Einschränkungen fortsetzen dürfen.

Michael Niavarani hat einst Facebook als "Stasi auf freiwilliger Basis" apostrophiert. Was er zum jö-Bonusclub sagt, werden wir vielleicht auch noch erfahren.

Quelle:

https://derstandard.at/2000102824024/Kritik-Neuer-Joe-Bonusclub-sammelt-massiv-Kundendaten (13.5.2019)

 

 

Cookie-Gutachten für den EuGH

Ende März 2019 hat der Generalanwalt dem EuGH ein Gutachten vorgelegt, wonach es unzulässig ist, dass Nutzer bei Cookies kein echtes Wahlrecht haben. Insbesondere bezog er sich darauf, dass das "Zustimmungskästchen" eines Anbieters bereit vorausgefüllt, also angekreuzt war. Der EuGH folgt den Empfehlungen des Generalanwaltes in der überwiegenden Zahl der Fälle.

Der Gutachter vertritt die Ansicht, dass für Cookies - unbeschadet der geltenden Richtlinie - die DSGVO vollumfänglich gilt, und die besteht auf der absoluten Freiwilligkeit der Nutzer und auf Grundeinstellungen der Systeme, die ein Maximum an Datenschutz gewährleisten. Ein vorausgefülltes Zustimmungskästchen ist daher nicht zulässig.

Quellen:

https://derstandard.at/2000099991508/EuGH-Gutachter-fordert-echte-Wahlmoeglichkeit-bei-Internet-Cookies (22.3.2019)

Cookie-Richtlinie: 2009/136/EG

https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32009L0136&from=DE

ergänzt ältere Richtlinie 2002/58/EG:

https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=celex:32002L0058